مقاله در مورد HacK و امنیت شبکه

word قابل ویرایش
207 صفحه
30000 تومان
207,000 ریال – خرید و دانلود

HacK و امنیت شبکه

 

مدل مرجع ‎OSI و لایه‎بندی پروتکل
در ۱۹۸۰، یک سازمان بین‎المللی استانداردسازی، طرحی را به نام ‎Open System interconnection (DSI) به وجود آورد. این مدر براساس لایه‎بندی پروتکل پایه‎گذاری شده است. و آن به این صورت است که وقتی دو کامپیوتر می‎خواهند با هم ارتباط برقرار ککنند، سریهایی از قسمتهای کوچک استاندارد نرم‎افزاری روی هر سیسیتم برای بهتر کردن این ارتباط، عملیاتی را

انجام می‎دهند. یک قسمت برای حصول اطمینان از اینکه داده به طور مناسب بسته‎بندی شده است تلاش می‎کند و قسمت دیگر از فرستادن پیامهای گم شده به طور مجرد مراقبت می‎کند و قسمتهای دیگر پیامها را در سراسر شبکه می‎فرستند. هر کدام از این قسمتها که تحت عنوان لایه از آنها یاد می‎شود، کار مشخص و کوچکی برای انجام ارتباطات دارند. قسمت‎های ارتباطی که با هم استفاده می‎شوند. ‎Protocl Stack (پشته پروتکل) نامیده می‎شوند زیرا آنها شامل گروهی از این

لایه‎ها هستند که بر روی هم سوال شده‎اند. مدل ‎OSI شامل هفت نوع از این لایه‎ها می‎باشد که هر کدام نقش مشخصی در انتقال داده‎ها را در شبکه دارند.
در توده ارتباطاتی لایه‎بندی شده، یک لایه روی قسمت فرستنده با همان لایه روی سیستم (قسمت) گیرنده در ارتباط است. به علاوه لایه‎های پایین‎تر به لایه‎های بالایی سرویس می‎دهند. به عنوان مثال لایه پایین‎تر ممکن است پیامهای گم شده را به جای ارسال به لایه بالاتر که وظیفه فرمت‎بندی داده‎ها را به صورت دقیق به عهده دارد مجدداً به لایه پایین ارسال کند. این لایه، لایه سطح بالایی خود را که ممکن است داده‎ را در قسمت اول تولید می‎کند، سرویس دهد. وقتی که یک لایه برای انجام امور به لایه دیگر متکی می‎شود،‌لایه‎ها به وجود می‎آیند. بنابراین نرم‎افزار یک لایه می‎تواند در حالی که تمامی لایه‎های دیگر یکسان باقی می‎مانند، به جای برناه دیگر جایگزین شوند.
مدل مرجع ‎OSI از هفت لایه زیر تشکیل شده است:
• لایه ۷: لایه برنامه کاربردی ‎(Application layer): این لایه به عنوان پنجره‎ای به کانال ارتباطی برای برنامه کاربردی و البته با توصیف داده‎ها و تبدیل آنها به اطلاعات با مفهوم برای برنامه‎های کاربردی عمل می‎کند.
• لایه ۶: لایه نمایشی ‎(Presentation layer): این لایه چگونگی نمایش المان‎های داده برای ارسال، از جمله منظم کردن بیت‎ها و بایت‎ها در اعداد و فرمت‎بندی اعداد نمایی و همانند آن را برعهده دارند.
• لایه ۵: لایه جلسه ‎(Session layer): این لایه، ‌نشستهایی را بین ماشینهای ارتباطاتی با کمک به شروع، نگهداری و مدیریت آنها هماهنگ می‎کند.
• لایه ۴: لایه انتقالی ‎(Transport layer): این لایه، برای تهیه جریان ارتباطی قابل

اعتماد بین دو سیستم، که شامل انتقال دوباره پیامهای گم شده، قرار دادن آنها در جای مناسب و نظارت و بازرسی خطاها است، استفاده می‎شود.
• لایه ۳: لایه شبکه ‎(Network layer): این لایه برای انتقال داده از یک سیستم از میان مسیریابها به ماشین نهایی در طول شبکه، مسئولیت‎پذیر است.
• لایه ۲: لایه پیوند داده‎ها ‎(Data link layer): این لایه، داده را در طول شبکه حرکت می‎دهد.
• لایه ۱: لایه فیزیکی ‎(Physical layer): این لایه بیت‎ها را در طول پیوند فیزیکی که می‎تواند فیبر نوری، ارتباط رادیویی، مس و یا هر رسانه فیزیکی دیگر انتقال می‎دهد.

چگونه ‎TCP/IP سازگار می‎باشد؟

وقتی که مفهوم مدل مرجع ‎OSI، پروتکل‎های گوناگون شبکه را پاسخ می‎دهد، ‌پس بیایید پروتکل ‎ TCP/IP را تجزیه کنیم. در ‎ TCP/IP لایه کاربردی، لایه‎های جلسه و نمایش مدل مرجع ‎OSI در لایه کاربردی قرار داده شده‎اند. TCP/IP روی داده ارسالی برای برنامه کاربردی تمرکز ایجاد می‎کند.
• لایه کاربردی:‌این لایه خود TCP/IP نمی‎باشد. بلکه متشکل از برنامه‎های خاصی است که سعی می‎کنند با استفاده از ‎ TCP/IP در طول شبکه با هم ارتباط برقرار کنند. مدل ارتباطی در این لایه ممکن است شامل دو ‎Mail Server، سرویس‎دهنده و سرویس‎ گیرنده ‎Telnet، سرویس دهنده و سرویس گیرنده ‎FTP و یا سایر برنامه‎های کاربردی باشد.
• لایه انتقال: این لایه شامل پروتکل کنترلی ارسالی، ‎(TCP) پروتکل دیتاگرام کاربر ‎(UDP)، و پروتکل ساده‎ای که ما در آینده در این قسمت با جزییات بیشتری تجزیه می‎کنیم، می‎باشد. این لایه اطمینان حاصل می‎کند که بسته‎ها به مکان مناسب روی ماشین مقصد تحویل داده شده‎اند. همچنین برای فراهم کردن بسته‎ها به صورت منظم برای برنامه‎ای کاربردی که احتیاج به این عمل دارند،‌ می‎تواند استفاده شود.
• لایه شبکه: این لایه به پروتکل اینترنت ‎(IP) وابسته است و هدف آن فرستادن پیامها از کامپیوتر منبع داده شده به ماشین نهایی داده شده در طول شبکه می‎باشد. بر طبق اصطلاح مدل مرجع ‎OSI، به لایه ‎IP گاهی اوقات لایه سوم نیز گفته می‎شود.
• لایه پیوند داده: این لایه پیامها را در طول شبکه از هر کامپیوتر به کامپیوتر دیگر انتقال می‎دهد. به عنوان مثال، این لایه‎ها روی کامپیوتر داده‎ها را از کامپیوتر شما به مسیریاب ‎(Router) شبکه محلی شما حرکت می‎دهد. سپس مسیریاب ‎(Router) با استفاده از این لایه پیوندی، داده را به مسیریاب بعدی انتقال می‎دهد. باز هم طبق اصطلاح مدل ‎OSI، لایه پیوند داده به لایه‌ دوم ارجاع می‎شود.
• لایه فیزیکی: این لایه یک واسطه فیزیکی از قبیل سیم و یا کابل که اطلاعات از آن عبور داده می‎شود، می‎باشد.
لایه‎های شبکه و انتقال با هم سیستم پشته‎ای TCP/IP را تشکیل می‎دهند که متشکل از نرم‎افزارهای اجرایی روی کامپیوتر است. همانند مدل ‎OSI، یک لایه با لایه‎ای مشابه در قسمت دیگر رابطه برقرار می‎کند. علاوه بر آن، لایه پایینی سرویسی را برای لایه‎های بالایی تهیه می‎کند.

مفهوم ‎ TCP/IP
اینکه که درک ابتدایی‎ای از لایه پروتکل داریم. ‎ TCP/IP را با جزئیات دقیق‎تری

مورد آزمایش قرار می‎دهیم. خانواده پروتکل‎های ‎ TCP/IP از اجزای گوناگونی تشکیل یافته است: پروتکل کنترل انتقال ‎*TCP) پروتکل ‎(UDP) User Datagram، پروتکل اینترنت ‎(IP) و پروتکل پیام کنترل اینتر ‎(ICMP).
‎ TCP/IP در رشته‎هایی از مدارک تولید و نگهداری شده توسط گروه ویژه مهندسی اینترنت ‎(IETF) توضیح داده می‎شود. ‎John Postel پدر خانواده ‎ TCP/IP، رشته‎هایی از درخواست‎ها یکسری از اسناد و نظریه‎های تئوری که توضیح می‎دهد چگونه ‎ TCP/IP کار می‎کند را تهیه کرد. ‎۱۹۳ تا ‎۱۹۱ ‎RFC که ‎IP، ‎TCP و ‎ICMP را توصیف می‎کنند که در ‎www.ietf.org/rfc,html با هزاران ‎RFC دیگر که جنبه‎های دیگر اینترنت را توصیف می‎کنند قابل دسترسی‎اند.
‎ TCP/IP در اصل برای تحقیقات و آکادمیها تهیه شده بود و هیچ‎گونه قابلیت حفاظتی را دارا نبود. پروتکل سنتی ‎ TCP/IP برای اطمینان از قا بلیت اعتماد، جامعیت داده‎ها و اعتبار داده ‌ارسال شده بر روی شبکه مناسب نبود. بدون کنترل‎های مخفیانه و صادقانه، وقتی که شما داده‎ای را به اینترنت می‎فرستادید،‌‎ TCP/IP به هر استفاده‎کننده دیگری اجازه دیدن و تغییر داده شما را می‎دهد. به علاوه، بدون اعتبارسنجی ‎(authentication) یک مهاجم می‎تواند داده‎ای را که به نظر می‏‎آید از منابع قابل اعتماد دیگر روی شبکه به دست می‎آید، برای شما بفرستد.
درگذشته، تمام قابلیت‎های حفاظتی شبکه‎های ‎ TCP/IP در برنامه‎های کاربردی ارتباطی به کار گرفته می‎شدند و در پشته TCP/IP عملی انجام نمی‎گرفت. فقط اخیراً حفاظت و امنیت، به پروتکل ‎ TCP/IP در فرم توسعه پروتکل که ‎Ipsee نامیده می‎شود و ما در آینده با جزییات دقیق‎تری در این قسمت آن را توصیف خواهیم کرد، قرار داده شده است. اگرچه ‎Ipsee آینده خوبی دارد اما هنوز به طور گسترده به کار گرفته نشده‎اند. بنابراین، بدون این قابلیت‎های حفاظتی پروتکل، برنامه‎هیا کاربردی هنوز برای انجام امور حفاظتی اغلب به خود واگذار می‎شوند.

پروتکل کنترل انتقال داده ‎(TCP)
‎‎ TCP بخشی است از اینترنت که امروزه توسط اکثریت برنامه‎های کاربردی استفاده می‎شود. از میان هزاران برنامه کاربردی که توسط ‎ TCP استفاده می‎شوند برخی از آنها قابل توجه‎ترند.
• انتقال فایل با استفاده از پروتکل انتقالی فایل ‎(FTP)
• ‎telnet، یک رابط خط فرمان از راه دور
• ‎Email با استفاده از پروتکل‎های گوناگون که شامل پروتکل انتقالی پستی ساده (SMTP) و پروتکل (POP) Post Office می‎باشد.
• مرورگر وب با استفاده از پروتکل انتقالی ابرمتنها ‎(HTTP)
هر کدام از این پروتکل‎ها بسته‎ها را تهیه کرده و آنها را به پشته ‎TCP/IP ماشین محلی عبور می‎دهند. نرم‎افزار لایه ‎ TCP روی سیستم این داده را می‎گیرد و با قرار دادن هدر ‎ TCP در جلوی هر پیام، بسته‎های ‎ TCP را تولید می‎کند.

شماره پورت ‎ TCP
هدر هر بسته ‎ TCP شامل دو عدد درگاه می‎باشد. پورت مبدأ و پورت مقصد. این اعداد ۱۶ بیتی همانند درهای کوچکی بر روی سیستم یعنی جایی که داده می‎تواند فرستاده و یا دریافت شود می‎باشند. درگاه‎ها درهای فیزیکی نیستند. آنها واحدهای منطقی هستند که توسط نرم‎افزار پشته ‎ TCP/IP توضیح داده شده است. ۶۵۵۳۵ پورت ‎ TCP مختلف روی هر ماشین وجود دارد. پورت صفر ‎ TCP رزرو شده و استفاده نمی‎شود. هر بسته ‎ TCP از میان یکی از این درها از ماشین مبدأ بیرون می‎آید (عدد پورت TCP مبدأ) و پورت دیگر روی ماشین مقصد مشخص شده است.
وقتی که یک برنامه کاربردی سرویس دهنده مبتنی بر ‎ TCP روی سیستم کار می‎کند، به درگاه خاصی برای بسته‎های ‎ TCP که از یک سرویس‏‎گیرنده می‎آید، گوش می‎دهد. به یک پورت با سرویس شنوایی، پورت باز و به جایی که چیزی برای شنیدن وجود ندارد پورت بسته گفته می‎شود. سرویس دهنده‎های گوناگون برنامه کاربردی به پورت‎های مشهور گوش می‎دهند. پورت‎های ‎ TCP مورد استفاده اغلب به صورت زیر می‎باشد:
• TCP Port 21- پروتکل ارسالی فایل (FTP)

• TCP Port 23-Telnet
• TCP Port 25-پروتکل ارسالی پستی ساده (SMTP)
• TCP Port 80-Word Wide Web (HTTP)
• TCP Port 666-Doom (…Id بازی از نرم‎افزار)
برای اتصال، سرویس‎دهندگان برنامه کاربردی، لایه ‎ TCP سرویس گیرنده بسته‎هایی با پورت مقصد ‎ TCP شبیه به پورتی که برنامه کاربردی سرویس دهنده در حال گوش دادن است را تولید می‎کنند.
پورت مبدأ برای درخواست بسته (Packet) به صورت دینامیکی توسط سیستم عامل به برنامه متقاضی به شماره‎ای بیش از ۱۰۲۳ که پورت شماره بالا (“High-numbered”) نامیده می‎شود تنظیم شده است. پورت نهایی درخواست مطابق با برنامه کاربردی، جایی که سرویس‎دهنده در حال گوش کردن است همانند ‎ TCP Port 80 برای عبور و مرور ‎HTTP می‎باشد. برای بیشتر برنامه‎های ک اربردی، سرویس دهنده پیامهای پاسخ را به شماره پورت‎های ارسال شده خواهد فرستاد. پورت مبد بسته پاسخ، شماره‌پورتی است که سرویس‎دهنده در حال شنیدن بوده است و پورت مقصد جایی است که سرویس‎گیرنده پیام اصلی را فرستاد.
هدایت‎گر سیستم می‎تواند هر سرویس‎دهنده برنامه کاربردی را برای استفاده از هر شماره پورت صادر شده مدیریت کند اما برنامه‎های سرویس گیرنده از برنامه‎های کاربردی انتظار دارند که روی درگاه‎های نهایی مشخصی شنیده شوند. بنابراین، برای اینکه سرویس‎گیرنده و کاربر درباره پورت نهایی مرسوم روی سرویس‎دهنده اطلاعاتی داشته باشند، شماره‎های پورتی که در ‎REC 1700 توصیف شده‎اند اغلب مورد استفاده قرار می‎گیرند.
برای آنکه ببینید چه پورتهایی در ‎Window NT/2000 یا سیستم ‎UNIX مورد استفاده‎اند می‎توانید از دستور «‎netstat» استفاده کنید. با تایپ «‎Netstat-na» در خط فرمان، تمام پورت‎هایی که داده‎ها را می‎فرستند، نمایانگر خواهند شد. نشان «-na» در تمام دستورات به معنای نمایش همه پورت‎ها و لیست کردن آدرس‎های شبکه و شماره فرم‎ها در قالب عددی می‎باشد.

بیت‎های کنترلی ‎ TCP، دست دادن سه طرفه ‎(Three-way handshke) و شماره‎های سریال
بیت‎های کنترل ‎ TCP، که همچنین اغلب با عنوان «code bits» نامیده می‎شوند، قسمتهای بخصوص مفیدی از هدر ‎ TCP هستند.
این ۶ فیلد کوچک (هر کدام فقط با طول ۱ بیت) مشخص می‎کند که کدام قسمت از نشست ‎(Session) بسته ‎ TCP در رابطه است با مثلاً آغاز نشست و ‎acknowledgment، پایان دادن به یک نشست. همچنین، بیت‎های کنترل می‎تواند معلوم کند که آیا بسته درخواست شده، توجه لازم که توسط لایه ‎ TCP هدایت شود را دارد؟
اکثری مردم به بیت‎های کنترل ‎ TCP تحت عنوان «Cod bites» مراجه می‎کنند. هر کد بیت می‎تواند به طور غیروابسته تنظیم شود بنابراین هر بسته TCP می‎تواند شامل یک و یا حتی بیشتر کد بیت‎های ۶ تایی به ارزش ۰ و ۱ باشد. اغلب، تنها یکی و یا دو تا از کد بیت‎ها در پیام داده شده به ارزش ۱ تنظیم شده‎اند. کد بیت‎ها به معانی زیر هستند:
‎URG: اشاره‎گر ضروری در فیلد هدر ‎ TCP مهم و بامعنا است.
‎ACK: فیلد ‎Acknowledgment مهم است. این پیام برای مشخص کردن بسته‎های دریاف شده استفاده می‎شود.

‎PSH: این یک عملگر جلوبرنده است که برای حرکت دادن داده در لایه ‎ TCP استفاده می‎شود.
‎PST: ارتباط به خاطر خطا و سایر وقفه‎ها باید دوباره برقرار شود.
‎SYN: سیستم باید شماره سریال را همگام نماید این کد در طول برپایی نشست استفاده می‎شود.
‎FIN: هیچ داده دیگری از فرستنده وجود ندارد. بنابراین، نشست باید از بین برود.
وقتی که ما چگونگی آغاز نشست‎ها را در ‎ TCP تجزیه و تحلیل کنیم، اهمیت بیت‎های کنترل

Three-way handshake) و ابزار اولیه که توسط ‎ TCP برای انجام کارهایش استفاده می‎شود برپا شده است. دست دادن سه طرفه، ترسیم شده به سیستم اجازه می‎دهد تا یک نشست ارتباطی و برقراری مجموعه‎ای از شماره‎های سریال برای بسته‎هایی که در نشست استفاده می‎شوند را باز کند.
تمامی بسته‎ها در این نشست به جای مناسب می‎رسند. اگر دو بسته در این انتقال برگشت داده شوند (به این حالت که مثلاً بسته آخر مسافت کمتری را نسبت به بسته اولیه طی کرده است) لایه ‎ TCP می‎تواند مشکل بسته‎ها را قبل از فرستادن آنها در برنامه کاربردی کشف کند. و آنها را دوباره مرتب نماید. به طور مشابه اگر یک بسته در طول انتقال و ارسال گم شود، ‎ TCP می‎تواند مشکل را با توجه به شماره‎های سریال و شماره‎های ‎ACK بسته مفقود شده، ‌کشف و نسبت به انتقال دوباره این بسته‎ها اقدام کند. بنابراین، ‎Three-way handshake و شماره‎های سریالی که از آن نتیجه می‎شوند،‌ به ‎ TCP اجازه می‎دهند که ارسالهای قابل اعتمادی داشته باشند.
هنگامی که کد بیت‎های ‎SYN و ‎ACK برای برپایی نشست استفاده می‎شوند، کد بیت ‎FIN برای از میان بردن نشست استفاده می‎شود. هر طرف پیامی را که کد بیت ‏‎FIN تنظیم شده است تا نشستی را که باید خاتمه یابد مشخص کند، می‎فرستد.
کد بیت ‎RST برای توقف ارتباطات و آزادسازی شماره‎های سریال در حال استفاده به کار می‎رود. اگر یک ماشین بسته‎ای که انتظارش را ندارد دریافت کند (مانند پیامهایی شامل بیت ‎ACK وقتی که هیچ نشستی برپا نشده است) با پیامی که بیت ‎RST آن تنظیم شده است، واکنش نشان خواهد داد. این روش بیان ماشین است. «اگر شما فکر می‎کنید که نشستی وجود دارد، آن را از بین ببرید زیرا من نمی‎دانم شما راجع به چه مسأله‎ای صحبت می‎کنید.‌»
کد بیت‎های ‎URG و ‎PSH اغلب کمتر از ۴ بیت دیگر استفاده می‎شوند. کد بیت ‎URG به این معناست که داده شامل برخی داده‎های ضروری می‎باشد. اگر کد بیت ‎URG به یک تنظیم شده است فیلد اشاره‎گر مشخص می‎کند که در کدام قسمت داده رشته‎ای، داده ضروری واقعی وجود دارد. ‎ TCP مشخص نمی‎کند که چگونه داده ضروری باید توسط برنامه کاربردی به کار برده شود. این فقط به لایه کاربردی در یک طرف ارتباط اجازه می‎دهد تا داده واقعی را برای قسمت دیگر ارتباط نشان دهد. کد بیت ‎PSH به این معناست که لایه ‎ TCP باید بسته را از میان پشته با سرعت عبور دهد.

فیلدهای دیگر در هدر TCP
بجز فیلدهای هدر ‎ TCP که قبلاً توضیح داده شد،‌ فیلدهای گوناگون دیگری هم در در ‎ TCP یافت می‎شوند. این فیلدهای اضافی از قرار زیر هستند:
• ‎Data offset: این فیلد توضیح می‎دهد که در کجای بسته TCP هدر پایان یافته و داده شروع می‎شود. این با طول هدر ‎ TCP در کلمات ۳۲ بیتی برابری می‎کند.
• ‎Reserved: این فیلد برای استفاده آتی رزرو شده است.
• ‎Window: این فیلد برای کنترل شماره بسته‎های ارسال شده که بین سیستم‎ها فرستاده می‎شود استفاده می‎گردد. این به هر قسمت از ارتباط، راهی را برای کنترل جریان بسته‎ها از قسمت دیگر می‎دهد تا اطمینان حاصل کنند که همه بسته‎ها به طور منظم دریافت شده‎اند و قبل از آنکه بسته‎های جدید فرستاده شوند به طور منظم ‎acknowledge بسته‎های دریافت شده فرستاده می‎شود.
• ‎Checksum: برای رسیدگی به اینکه بسته TCP (هدر و داده) در انتقال در شبکه خراب نشده است،‌استفاده می‎شود.

• ‎Urgent Pointer: این فیلد،‌ اشاره‎گری به داده‎ای از بسته را دارد تا مشخص کند که اطلاعات ضروری کجا واقع شده‎اند.
• ‎Options: این مجموعه از فیلدهای با طول گوناگون، می‎توانند اطلاعات اضافی درباره قابلیت‎های پردازشی ‎ TCP را از هر کدام از طرفهای ارتباط مشخص کنند. به عنوان مثال اگر لایه ‎ TCP فقط بسته‎های ‎ TCP از ماکزیمم سایز گرفته شده را اداره کند، ‌سیستم می‎تواند محدودیت را در گزینه‎های ‎ TCP مشخص کند.
• ‎Padding: این فیلد بیت‎های اضافی تنظیم شده با مقدار صفر را شامل می‎شود تا طول هدر TCP را توسعه دهد. بنابراین این روی مرز ۳۲ بیتی خاتمه می‎یابد.

پروتکل دیتاگرام کاربر ‎(User Datagram Protocol)
وقتی که به اسم پروتکل به عنوان « TCP/IP» اشاره می‎شود، اعضای دیگری از این خانواده در کنار ‎IP و ‎ TCP وجود دارند. ‎UDP لایه انتقالی دیگری است که در بالای ‎IP می‎تواند قرار گیرد. ‎UDP و ‎ TCP مانند دو عموزاده هستند. ‎ TCP بیشتر مورد توجه است و در اسم فامیلی استفاده می‎شود ولی UDP هنوز پایه بسیاری از برنامه‎های کاربردی مهم است. تهیه‎کننده برنامه کاربردی می‎تواند انتخاب کند که داده را با استفاده از ‎ TCP بفرستند. یا ‎UDP (با توجه به اینکه برنامه کاربردی چه چیزی را از لایه انتقال نیاز دارد)، بسته‎های دریافت شده و رشته‌ ارتباطی، یا ‎ TCP هستند یا ‎UDP و نمی‎توانند هر دو پروتکل را به طور همزمان مورد استفاده قرار دهند. سرویس‎هایی که ‎UDP را مورد استفاده قرار می‎دهند شامل بسیاری از رشته‎های داده‎های ویدیویی و صوتی برنامه‎های کاربردی می‎باشند که به همان خوبی جستجوها و پاسخهای ‎(Domain Name Service) DNS عمل می‎کند.
‎UDP بدون اتصال است ‎(Connectionless) پروتکلی که وضعیت اتصال را نمی‎داند و یا به خاطر نمی‎آورد و هیچ اعتقادی به نشست‎های ابتدایی،‌ تصدیق دریافت اطلاعات، خراب شدن یا چیز دیگری ندارد. به علاوه ‎UDP پیام‎های گمشده را دوباره ارسال نمی‎کند و یا حتی آنها را در جای مناسب قرار نمی‎دهد. بنابراین، اگر پیام ۱، پیام ۲، و پیام ۳ فرستاده شوند، مقصد ممکن است پیام ۲، پیام ۱ و کپی دیگری از پیام ۱ را دریافت کند. پیام۳ گم می‎شود و پیام ۱ دوباره فرستاده می‎شود.
‎UDP غیرقابل اعتماد است. ممکن است پیامها را گم کند و یا آنها را خراب بفرستد. اما گاهی اوقات عدم قابلیت اطمینان، خوب است. بخصوص وقتی که می‎تواند برای شما سرعت را به ارمغان آورد. برخی از برنامه‎های کاربردی به گرفتن پیامها با سرعت زیاد در طول شبکه علاقه‎مندند و به قابلیت اطمینان در سطح بالا نیازی ندارند. این برنامه‎های کاربردی به سربار ‎Three-way handshake و شماره‎های سریال روی هر بسته و غیره احتیاج ندارند. در عوض، برای این برنا

مه‎های کاربردی، ‌سرعت و سادگی جزء نیازهای ضروری هستند.
به علاوه برخی برنامه‎های کاربردی پرسش ‎- پاسخ، از ‎UDP به طور چشمگیری استفاده می‎کنند. وقتی که آدرس شبکه را برای نام یک حوزه ‎(Domain) خاص جستجو می‎کنید، ‎DNS پیامی را با یک پرس‎وجو می‎فرستذد تا نام دامنه را جستجو کند. (پیام که می‎گوید: آدرس ‌«۱۰٫۲۱٫۴۱٫۳» است

). این برنامه‎های کاربردی،‌ سرباری در رابطه با برپایی ارتباط با استفاده از دست دادن سه طرفه را برای فرستادن پرس‎وجو و گرفتن پاسخ نمی‎خواهند.
‎UDP شماره‎های پورت ۱۶ بیتی را دارند بنابراین ‎۶۵۳۳۵ پورت‎های ‎UDP قابل دسترس وجود دارند. فقط مانند ‎ TCP، داده از پورت سیستم اصلی (پورت مبدأ ‎UDP) می‎آید و برای یک پورت روی سیستم مقصد (پورت مقصد ‎UDP) در نظر گرفته شده است. یکی از گسترده‎ترین سرویس‎های ‎UDPهای مورد استفاده ‎(DNS) برای گوشکردن به پرس‎وجوهای ‎DNS روی پورت ۵۳ ‎UDP است.
سرویس‎های دیگر پایه‎گذاری شده براساس ‎UDP شامل:
• پروتکل انتقالی فایل کم اهمیت ‎(TFTP)، پورت ‎UDP69
• پروتکل مدیریت شبکه ساده ‎(SNMP)، پورت ‎UDP161
• داده ‎Real Player، صوتی ‎- تصویری، یکسری از پورت‎های ‎UDP شامل ۷۰۷۰، اگرچه سرویس‎گیرنده می‎تواند فقط برای استفاده پورت‎های ‎‎TCP در صورت لزوم پیکربندی شود.

پروتکل اینترنت (IP) و پروتکل کنترل پیام اینترنت ‎(ICMP)
وقتی که لایه ‎UDP یا ‎ TCP بسته برا تولید می‎کند، آن باید در طول شبکه فرستاده شود. لایه انتقال (‎UDP یا ‎ TCP) بسته را به لایه شبکه برای بردن آن عبور خواهد داد.
پروتکل اینترنت ‎(IP) عمومی‎ترین لایه شبکه‎ای است که امروزه استفاده می‎گردد و برای تمامی حرکتهای ترافیکی در طول اینترنت مورد استفاده واقع می‎شود.

شبکه‎های محلی و مسیریابها
هدف ‎IP انتقال بسته‎ها در طول شبکه می‎باشد. شبکه‎های کامل از بلوک‎های ساختمانی اساسی و پایه‎ای به نام ‎Local area networks (LANs) تشکیل یافته‎اند. ‎LAN به طور ساده گروهی از کامپیوترها می‎باشند که با استفاده از ‎hub یا ‎switch بدون هیچ مسیریابی که سیستم‎ها را مجزا کند، به هم مرتبط‎اند. همان‎طور که نامشان مشخص می‎کند ‎LANها به طور نمونه از نظر جغرافیایی کوچکند و معمولاً ساختمان منفرد و محوطه کوچکی را دربرمی‎گیرند.
‎LANها با استفاده از مسیریابها به هم متصلند. وظیفه مسیریاب این است که بسته‎ها را بین ‎LANها برای به وجود آوردن یک شبکه بزرگ، همان‎طور که در شکل نشان داده شده است، حرکت دهد. یک و یا چند پروتکل لایه شبکه، داده را در طول شبکه از کامپیوتر کاربر نهایی و از میان مجموعه‎ای از مسیریابها، تا سیستم نهایی حرکت می‎دهد. همچنین،‌ سیستم‎ها به طور مستقیم به مسیریابها یا هر پیوند نقطه به نقطه در حال استفاده دیگری مرتبط شده‎اند. خود اینترنت، چیز

ی به جز مجموعه ‎LANهای عظیم و ارتباطات نقطه به نقطه که با استفاده از گروه‎های مسیریاب ‎(Router) به هم متصل شده‎اند نمی‎باشد.

یک شبکه ترکیبی از ‎lanهای متصل شده به هم توسط مسیریابها می‎باشد.

آدرس ‎IP
آدرس‎های ‎IP ماشین بخصوصی را روی شبکه توضیح می‎دهند و طولشان ۳۲ بیت می‎باشد. هر سیستم که به طور مستقیم به اینترنت متصل می‎شود آدرس ‎IP منحصر به فردی دارد. از آنجایی که محدود کردن مردم به خواندن و حفظ کردن یک بلوک ۳۲ بیتی، بسیار مشکل است. لذا آدرس‎های IP اغلب به صورت نماد ‎dotted-qual نوشته می‎شوند. نماد ‎Dotted-qued، هر کدام از ۴ بسته‎های ۸ بیتی از آدرس IP را به عنوان عددی بین ۰ و ۲۵۵ که در آدرس ‎ IP به فرم ‎W.X.Y.Z مانند ‎۱۰٫۱۲٫۴۱٫۳ نتیجه می‎شود را لیست می‎کند.
هر کدام از بسته‎های ‎IP، آدرس ‎ IP مبدأ را با تعریف سیستمی که بسه را می‎فرستد و آدرس ‎ IP مقصد که سیستم مقصد را برای بسته مشخص می‎سازد شامل می‎شود.
‎Netmasks
هر آدرس ‎ IP به صورت واقعی از ۲ قسمت تشکیل یافته است. آدرس شبکه و آدرس میزبان روی همان شبکه خاص، آدرس شبکه، ‎LAN خاصی را توضیح می‎دهد که ترافیک می‎تواند برای رساندن بسته هدایت شود. آدرس میزبان، ماشین مخصوص روی ‎LAN داده شده را توضیح می‎دهد.
چگونه کامپیوتر و یا مسیریاب می‎داند که کدام قسمت از آدرس ‎ IP مربوط به شبکه و کدام مربوط به میزبان است؟ در واقع اطلاعات پایه‎گذاری شده روی قسمتی که ‎Netmask نامیده می‎شود آن را تعریف می‎کند. ‎Netmask مشخص می‎کند که کدام بیت‎ها در آدرس شبکه هستند (و بقیه بیت‎های آدرس ‎IP در قسمت میزبان واقع شده‎اند). ‎ Netmask عددی است که بیت‎هایش را وقتی که قسمتی از آدرس‎ شبکه است، به مقدار ۱ تنظیم می‎نماید. وقتی که بیت داده شده در آدرس ‎IP قسمتی از آدرس میزبان است،‌‎ Netmask دارای بیت صفر است. بنابراین شما می‎توانید آدرس ‎ Netmask را باترکیب ساده تمامی آدرس ‎IP با ‎ Netmask با استفاده از عملگر ‎XOR، تشخیص دهید. همانند آدرس‎های ‎IP، ‎ Netmaskها هم در نماد ‎dorred-qued نوشته می‎شود.

بخش‎بندی یک بسته در ‎IP
رسانه‎های ارسالی گوناگون، خصوصیات اجرایی مختلفی دارند. برخی رسانه‎ها
وقتی پیامها طولانی‎تر باشند بهتر عمل می‎کنند در حالی که دیگر رسانه‎ها از پیامهایی با طول کوتاهتر بهره می‎برند. به عنوان م ثال، انعاس دادن یک بسته ‎ IP از یک ماهواره بسیار متفاوت است با فرستادن یک بسته از میان فیبر نوری. با توجه به زمان تأخیر ‎(latency) مربوط به ارسال اطلاعات به ماهواره، بسته‎های بزرگتر کارایی بیشتری دارند در حالی که بسته‎های کوچکتر کارایی خوبی را در شبکه‎های با تأخیر کمتر ‎(loulatency) دارند. برای بهینه ‎ساختن طول بسته‎ها برای پیون

دهای گوناگون ارتباطی، ‎ IP عناصر شبکه (مانند مسیریابها و ‎firewalls)) را که قابلیت تبدیل پیامها به قطعات کوچکتر را دارند، (عملی که ‎fragnetations نامیده می‎شود) معرفی می‎کند. سیستم پایانی یا ابزار شبکه می‎تواند بسته‎های ‎ IP بزرگ را بگیرد و آنها را به تکه‎های کوچکتر برای ارسال در طول شبکه بشکند. لایه ‎ IP سیستم نهایی موظف است که دوباره تمامی قطعات را قبل از فرستادن داده به لایه حمل اسمبل کند.
هدر ‎ IP، یک جفت فیلد برای پشتیبانی این قطعات پیشنهاد می‎کند. ابتدا فیلد ‎fragment offset به سیستم می‎گوید تا زمانی که تمامی پیام مجدداً اسمبل شد، محتویات این قطعات بایستی شامل کدام قسمت باشند. به علاوه، فیلد شناسایی ‎(Identification) استفاده می‎شود تا به اسمبل مجدد قطعات کمک کند. فیلد شناسایی، توسط سیستم پخش‎کننده به مقداری واحد تنظیم شده است تا به سیستم مقصد برای اسمبل مجرد پیام کمک کند. به علاوه پرچمها ‎(flag یا نشانه) در هدر ‎ IP، اطلاعاتی در ارتباط با ‎fragmentation‎ را مشخص می‎کند. سیستم فرستنده می‎تواند این فیلدها را تنظیم کند تا مشخص کند که پیامها در حین عبور از شبکه نباید مجزا شوند. همچنین اگر یک بسته قطعه قطعه شده است،‌ این نشانها مشخص می‎کنند که آیا هنوز قطعاتی از پیام اصلی بر سر راه قرار دارند یا نه. این ۲ بایت می‎توانند ارزشهای زیر را داشته باشند.
• Flag Bit 1 (the Don’t Fragment bit): 0 = may fragment 1 = don’t fragment
• Flag Bit 2 (the more Fragment bit): 0 = last fragment 1 = more fragments

دیگر قسمت‎های تشکیل دهنده ‎IP
هدر ‎ IP متشکل است از:
• ‎Version: این ۴ بایت توضیح می‎دهند که کدام نسخه از پروتکل اینترنت در حال استفاده است نسخه چهارم ‎ IP، نسخه‎ای است که به صورت گسترده در سراسر اینترنت استفاده می‎شود.
• ‎IHL: این فیلد،‌ ‎the internet Header Length، طول کلی هدر ‎ IP است.
• ‎Service type: این فیلد با کیفیت سرویس مرتبط است. برای عناصر شبکه مشخص می‎کند که تا چه مقدار به تأخیر افتادن عبور و مرور می‎تواند حساس باشد.
• ‎Total length: این قسمت طول کلی بسته ‎ IP که شامل هدر IP و داده‎های آن است

را معین می‎کند.
• ‎Idinification: این فیلد برای پشتیبانی از اسمبل مجدد تکه‎ها استفاده می‎شود.
• ‎Flags: این بیت‎ها همان‎طور که قبلاً توضیح داده شده است شامل بیت «Don’t fragment» و بیت «More fragment‎» می‎باشند.
• ‎Fragment offset: این قسمت مشخص می‎کند که تکه‎ها می‎بایستی در کدام قسمت از پیام جا داده شوند.
• ‎Time to live (TTL): این فیلد برای مشخص کردن بیشترین تعداد جهش‎های روتر – به – روتر زمانی که بسته در طول شبکه عبور داده می‎شود،‌ مورد استفاده واقع می‎شود.
• ‎Protocol: این فیلد، پروتکلی که توسط پیام ‎IP حمل می‎شود را توضیح می‎دهد که اغلب مشابه ‎TCP یا ‎UDP ارزشگذاری می‎شود.
• ‎Header Checksum: این اطلاعات برای حصول اطمینان از اینکه هدر اشتباهی نکرده باشد استفاده می‎شود که در هر جهش توسط مسیریاب دوباره تخمین زده می‎شود.
• ‎Source IP Address: این فیلد آدرس شبکه و میزبان را از جایی که بسته آمده است، ‌مشخص می‎کند.

• ‎Destination IP Address: این فیلد آدرس شبکه و میزبان را به جایی که بسته فرستاده می‎شود، مشخص می‎کند.
• ‎Options: این فیلدهای با طول متغیر،‌ اطلاعات گسترده شده برای لایه ‎ IP را مشخص می‎کند. بخصوص، در مسیریابی مبدا، عملگری که در زیر با جزییات بیشتری توصیف می‎شود، مورد استفاده قرار می‎گیرد.
• ‎Padding: این فیلد به این منظور مورد استفاده قرار می‎گیرد که طول هدر ‎ IP را در حد ۳۲ بیت نگاه داشته و از ۳۲ بیت بیشتر نگردد.

امنیت یا کمبود در ‎ IP سنتی
پروتکلی که امروزه در اینترنت استفاده می‎شود،‌‎ IP با نگارش ۴، هیچ‎گونه قابلیت حفاظتی اساسی را شامل نمی‎شود. تمامی اجزاء تشکیل دهنده بسته به صورت متن واضح آورده شده و هیچ‎ چیز پنهان نیست. هر چیزی در هدر و یا حتی در قطعه داده می‎تواند مشاهده شده و یا توسط مهاجم تغییر یابد. به علاوه، پروتکل شامل شناسایی ‎(authentication) نیست بنابراین یک مهاجم می‎تواند پیامهایی را با هر آدرس IP مبدأ تولید کند.

‎ICMP
یکی دیگر از اعضای فامیل ‎TCP/ IP، پروتکل کنترل پیام اینترنت ‎(ICMP)
است. ICMP، مانند لوله‎کشی شبکه است. وظیفه‎ای انتقال فرمان و کنترل اطلاعات بین سیستم‎ها و شبکه برای انتشار نقل و انتقالات داده واقعی و گزارش خطاها می‎باشد. یک سیستم می‎تواند از ‎ICMP برای امتحان اینکه آیا سیستم دیگر فعال است یا نه (با فرستادن ‎«ping» که پیام پژواک ‎(ICMP Echo) است) استفاده کند. اگر سیستم ‎Pinged فعال باشد، به فرستادن پیام پاسخ پژواک ‎(ICMP Echo) واکنش نشان می‎دهد. یک مسیریاب می‎تواند از ‎ICMP استفاده کند تا به سیستم مبدا اطلاع دهد که راهی به مقصد مورد نیاز ندارد (یک پیام مبنی بر مقصد غیرقابل جستجو ‎ICMP). یک میزبان می‎تواند به سیستم دیگر بگوید که سرعت تعداد پیامهایی را که مبدأ ICMP می‎فرستد را کاهش دهد. درست متوجه شدید ‎- ICMP برای سیستم‎ها استفاده می‎شود تا اطلاعاتی در مورد اینکه چگونه داده در طول شبکه جاری می‎شود (و یا جریان نمی‎یابد) را مبادله کحند.
‎ ICMP از این فرمت هدر به عنوان ‎IP برای آدرس‎های ‎IP مبدأ و مقصد، قطعه‎بندی بسته‎ها

و سایر عملها استفاده می‎کند. فیلد پروتکل هدر ‎IP با مقداری مطابق با ‎ ICMP پر می‎شود (عدد ۱ به معنای ‎ ICMP می‎باشد). بعد از هدر ‎IP در اجزاء داده‌ بسته ‎IP، ‎ ICMP فیلدی با نام ‎ ICMP type را می‎افزاید. فرمت باقیمانده بسته ‎IP به این نوع ‎ ICMP بستگی دارد. انواع مختلفی از مدل‎های پیام ‎ ICMP، وجود دارد.

تفسیر آدرس شبکه

بلوک‎های آدرس‎های ‎IP به سرویس‎دهندگان و سازمانهای گوناگونی داده شده است. سالهای گذشته که هیچ‎گونه انتظاری برای اتصال به اینترنت نمی‎رفت برخی سازمانها اعداد آدرس شبکه را به طور اتفاقی برگزیده‎اند و شروع به ساختن شبکه‎های ‎ IPشان با استفاده از این آدرس‎های ‎ IP تصادفی کرده‎اند.
شما سازندگان شبکه را می‎بینیدکه عدد مورد علاقه‎شان را برگزیده‎اند («من عدد ۴ را می‎پسندم»‌) و همه شبکه را با همان عدد (به همه چیز، ‌آدرس ‎ IPبه فرم ‎۴٫x.y.z داده شده است) می‎سازند. به این آدرس‎ها اغلب با عنوان «‌آدرس‎های غیرقانونی»‌ «illegal addresses» گفته می‎شود زیرا به طور رسمی در اختیار سازمانهای دیگری قرار داده شده‎اند. متأسفانه، اگر یک نفر با استفاده از آدرسهای غیرقانونی بخواهد به اینترنت متصل شود، ما ۲ شبکه با آدرس ‎ IP مشابه روی اینترنت خواهیم بود. این موقعیت به طور جدی مسیریابی را برهم می‎ریزد زیرا که مسیریابهای اینترنت نمی‎دانند که عبور و مرورها را برای این آدرس‎های مقصد تکراری به کجا بفرستند.
به علاوه با افزایش تعداد اتصال به اینترنت، آدرس‎های ‎ IP کافی برای تمامی متقاضیان، قابل دسترس نیست. بنابراین، ‎IETF برخی اعداد آدرس را برای خلق شبکه‎های ‎ IP خصوصی در ‎RFC 1918 کنار گذاشته است.
شما می‎توانید شبکه ‎ IP خودتان را با استفاده از این آدرس‎های ‎ IP نظیر ‎۱۰٫x.y.z و ‎۱۱۲٫۱۶٫y.z و ‎۱۲۲٫۱۶۸٫y.z تشکیل دهید. بسیاری از سازمانها با استفاده از این آدرسهای کنار گذاشته شده، شبکه‎ها را خلق می‎کنند. اگر بکوشید که داده خود را به یکی از این آدرس‎ها روی اینترنت بفرستید، موفق نخواهید شد زیرا که این مجموعه‌ کنار گذاشته شده منحصر به فرد نیستند. به آنها تحت عنوان «Unroutable» اشاره می‎شود زیرا هیچ مسیریابی، روی اینترنت نخواهد دانست که چگونه به این آدرس‎های غیرمنحصر به فرد دست یابد.
چگونه دست‎یابی به اینترنت را از شبکه‎ای که از آدرس‎های غیرقانونی و یا کنار گذاشته شده و توضیح داده شده در ‎RFC-1918 استفاده می‎کند، پشتیبانی می‎کنیم؟ پاسخ این است که این آدرس‎های مشکل‎دار را با عمل ‎map یا نگاشت آدرس‎های ‎ IP در مسیریاب شبکه یا ‎firewall، با استفاده از تکنیکی تحت عنوان ‎(NAT) Network address translation معتبر و قانونی می‎کنیم. برای به کارگیری ‎NAT، یک دروازه ‎(gateway) میان شبکه با آدرس‎های غیرقانونی یا کنار گذ

اشته شده و اینترنت قرار می‎گیرد. همان‎طور که در شکل نشان داده شده است، ‌وقتی که هر بسته از شبکه داخلی به اینترنت می‎رود، این مدخل به آدرس ‎IP مبدأ غیرقانونی یا غیرقابل مسیریابی شبکه داخلی در هدر بسته، اجازه می‎دهد تا با آدرس ‎ IP قابل مسیریابی یکتا رونویسی شود. وقتی پاسخها دریافت شدند، دروازه این بسته‎ها را دریافت می‎کندو آدرس‎های ‎ IP مقصد را قبل از آنکه بسته را به شبکه داخلی انتقال دهد دوباره‎نویسی می‎کند.

 

تفسیر آدرس شبکه، آدرس‎های IP غیرقابل مسیریابی را از شبکه داخلی
رونویسی ‎(Overwrit) می‎کند

یک دروازه می‎تواند آدرس‎ها را برای ‎NAT از راه‎های مختلفی ‎map کند، از جمله:
• نگاشت به آدرس ‎ IP منفرد خارجی ‎(mapping to a single external IP address): برای این نوع از ‎NAT، هر بسته که از شبکه داخلی می‎آید به آدرس ‎ IP منفردی ‎map شده است. روی شبکه اینترنت، تمامی عبور و مرورها به نظر می‎رسد که از آدرس ‎ IP دستگاه ‎NAT بیایند. این تکنیک مؤثر آدرس‎دهی اغلب برای اتصال شبکه‎های بزرگ به اینترنت وقتی که آدرس‎های ‎ IP محدودی قابل دسترسی‎اند استفاده می‎شود.
• نگاشت یک به یک ‎(one to one mapping): یک دروازه می‎تواند هر ماشینی روی شبکه دا خلی را به آردس ‎ IP معتبر منحصر به فری که با هر ماشین یکتا در ارتباط است ‎ map کند. بنابراین تمامی عبور و مرورها به نظر می‎آید که از گروهی از آدرس‎های IP بیایند. این تکنیک اغلب برای نگاشت درخواستهای کاربر در طول شبکه به سرویس‎دهنده روی شبکه، همانند سرویس‎دهنده وب استفاده می‎شود.
• آدرس‎های تخصیص داده شده به صورت پویا ‎(Dynamically allocated address): یک دروازه می‎تواند تعداد زیادی از آدرس‎های ‎ IP غیرقابل مسیریابی را به تعداد کوچکتری از آدرس‎های ‎ IP معتبر بخش کند. این نوع دست‎یابی کمتر از تکنیک‎های دیگر معمول است.
برای آنکه آدرس‎های IP را از تغییر مصون بداریم. ‎NAT امروزه به طور معمول روی اینترنت استفاده می‎شود. اگرچه، آیا ‎NAT از نظر امنیتی پیشرفت می‎کند؟ این می‎تواند به مخفی کردن کاربردهای آدرس IP شبکه داخلی که مهاجم می‎تواند برای تهیه نقشه توپولوژی شبکه استفاده کند، کمک نماید. اگرچ، به خودی خود، ‎NAT مزایای امنیتی کمی را داراست. هنگامی که مهاجمان نمی‎توانند بسته‎ها را به آدرسهای غیرقابل مسیریابی روی شبکه داخلی بفرستند، اما هنوز می‎توانند آنها را از درون دروازه ‎NAT بفرستند. دروازه‌NAT اآدرس‎ها را به نمایندگی از مهاجم نگاشت خواهد کرد. به همین علت، اگر قرار است حفاظتی صورت گیرد، تکنیک‎های ‎NAT باید با اعمال ‎firewall امنیتی ترکیب شود.

دیواره آتش: نگهبانان ترافیک شبکه و دروازه‎بانانهای فوتبال
دیواره‎های آتش ابزاری برای کنترل جریان عبور و مرور بین شبکه‎ها هستند.
آنها در مرز بین شبکه‎ها قرار گرفته و به عنوان دروازه‎ای برای اخذ تصمیماتی در ارتباط با اینکه چه ارتباطاتی باید پذیرفته و چه ارتباطاتی باید تکذیب شوند، عمل می‎کنند. با نگاهی به سرویس‎ها، آدرس‎ها و حتی کاربرهای مرتبط با ترافیک، دیواره‎های آتش مشخص می‎کنند که آیا ارتباطات باید به درون شبکه‎های دیگر فرستاده شوند و یا اینکه بایستی از بین بروند. با این قابلیت، دیواره‎های آتش همانند پلیس‎های ترافیک شبکه عمل می‎کنند.
اگر آنها به طور صحیح پیکربندی شوند، سیستم‎ها در یک طرف دیواره آتش ‎(Firewall) از مهاجمان طرف دیگر دیواره آتش محافظت می‎شوند. مهاجمان فقط از راه‎هایی که توسط دیواره‎های آتش اجازه داده می‎شود می‎توانند به سیستم‎های حفاظت شده دست یابند. سازمانها به طور معمول از دیواره‎های آتش استفاده می‎کنند تا ساختار زیربنایی شبکه خود را از اینترنت و حمله رقبای تجاری خود در طول برقراری ارتباط حفاظت کنند.
تشابه مفید دیگر برای دیواره آتش، دروازه‎بان در بازی فوتبال است که وظیفه‎‎اش محافظت از تور در برابر شوتهای تیم مقابل می‎باشد. توپ فوتبال مانند یک بسته است. وظیفه دیواره آتش

این است که مهاجم را از رستادن پیامهای تقاضا نشده به شبکه منع کند. اگرچه، دروازه‎بان باید به توپ اجازه دهد تا به خارج از تور شوت شود. دیواره آتش باید به برخی از ارتباطات در جهت خروجی را اجازه دهد، بنابراین کاربرهای داخلی می‎توانند به شبکه‎های خارجی دست یابند د
هدف مهاجم این است که توپ را ازدروازه‎بان عبور داده به داخل تور بفرستد. برای آنکه استحکام دفاعی خود را دریابیم، بیایید به قابلیت‎های دورازه‎بان با تجزیه و تحلیل تکنولوژی‎های دیواره آتش که امروزه به طور گسترده استفاده می‎شوند،‌ نگاهی بیندازیم: فیلترهای بسته رایج، فیلترهای بسته ‎Stateful و دیواره‎های آتش مبتنی بر ‎Proxy.

این فقط قسمتی از متن مقاله است . جهت دریافت کل متن مقاله ، لطفا آن را خریداری نمایید
word قابل ویرایش - قیمت 30000 تومان در 207 صفحه
207,000 ریال – خرید و دانلود
سایر مقالات موجود در این موضوع
دیدگاه خود را مطرح فرمایید . وظیفه ماست که به سوالات شما پاسخ دهیم

پاسخ دیدگاه شما ایمیل خواهد شد